Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Memorizza le voci di log

Questo documento illustra i bucket di log, ovvero i contenitori utilizzati da Cloud Logging per archiviare i dati dei log. Fornisce informazioni su posizione, gestione della chiave di crittografia e conservazione dei dati per i bucket di log. Mette inoltre in evidenza dove puoi utilizzare i criteri dell'organizzazione o le impostazioni predefinite delle risorse per controllare la posizione e la crittografia dei nuovi bucket di log nelle cartelle o nelle organizzazioni.

Informazioni sui bucket di log

Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati at-rest. I dati archiviati nei bucket di log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, una procedura nota come crittografia envelope. Per accedere ai dati di log è necessario accedere a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, sono Google Cloud-powered encryption keys e non richiedono alcun intervento da parte tua.

La tua organizzazione potrebbe avere requisiti di crittografia avanzata o relativi a normative e conformità che la nostra crittografia at-rest non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google Cloud-powered encryption keys, puoi gestire le tue chiavi.

I bucket di log sono risorse regionali con una posizione fissa. Trusted Cloud by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione.

Il periodo di conservazione dei dati archiviati da un bucket dei log dipende dal bucket dei log. Questo documento contiene informazioni sulla conservazione dei dati.

Puoi creare visualizzazioni dei log in un bucket dei log. Una vista di log fornisce l'accesso solo a un sottoinsieme dei dati di log archiviati in un bucket di log. Per ogni bucket di log, Cloud Logging crea automaticamente una visualizzazione dei log che fornisce l'accesso a ogni voce di log nel bucket. Controlli l'accesso a una visualizzazione dei log utilizzando Identity and Access Management (IAM).

Per eseguire query e visualizzare i dati dei log, utilizza Esplora log. Questa pagina ti aiuta a risolvere i problemi e analizzare le prestazioni dei tuoi servizi e delle tue applicazioni. Puoi visualizzare le singole voci del log e filtrare i dati del log. Questa interfaccia ha un'impostazione di ambito che consente di cercare i dati di log per progetto, bucket di log o visualizzazione di log.

Per scoprire di più, consulta Eseguire query e visualizzare le voci di log.

Supporto per organizzazioni e cartelle

Per aiutare la tua organizzazione a soddisfare le esigenze di conformità e normative, Logging supporta sia i criteri dell'organizzazione sia le impostazioni predefinite delle risorse:

Le impostazioni predefinite delle risorse specificano la posizione e la modalità di gestione delle chiavi di crittografia per i bucket di log creati dal sistema quando vengono create nuove risorse in una cartella o un'organizzazione. Ad esempio, puoi forzare questi bucket di log creati dal sistema a trovarsi in una posizione specifica.
Un criterio dell'organizzazione può limitare la posizione dei nuovi bucket di log definiti dall'utente. La registrazione supporta i criteri dell'organizzazione che specificano le regioni dove è possibile o meno creare bucket di log.

Bucket di log creati dal sistema

Per ogni Trusted Cloud progetto, account di fatturazione, cartella o organizzazione, Cloud Logging crea due bucket di log, uno denominato _Required e l'altro denominato _Default. A meno che non siano configurate le impostazioni predefinite delle risorse, per questi bucket dei log, questi bucket hannoGoogle Cloud-powered encryption keys e Cloud Logging seleziona la loro posizione.

Non puoi eliminare i bucket dei log creati dal sistema.

`_Required` bucket di log

Il bucket di log _Required memorizza le voci di log necessarie per motivi di conformità o controllo. Per questo motivo, non puoi eliminare questo bucket di log e non puoi modificare le voci di log archiviate al suo interno. Le voci di log in questo bucket vengono conservate per 400 giorni; non puoi modificare questo periodo di conservazione.

Anche le voci di log archiviate nel bucket di log _Required per una risorsa hanno origine in quella risorsa. In altre parole, il bucket di log _Required in un progetto Trusted Cloud può archiviare solo le voci di log che hanno origine in quel progetto.

Il bucket dei log _Required memorizza i seguenti tipi di voci di log:

Audit log delle attività di amministrazione
Audit log degli eventi di sistema
Audit log di amministrazione di Google Workspace
Log di controllo di Groups Enterprise
Log di controllo degli accessi

`_Default` bucket di log

Il bucket di log _Default memorizza le voci di log che non vengono archiviate automaticamente nel bucket di log _Required. Poiché il bucket di log _Default è creato dal sistema, non puoi eliminarlo. Tuttavia, puoi modificare le voci dei log archiviate in questo bucket di log.

Cloud Logging conserva le voci di log nel bucket _Default per 30 giorni.

Ad esempio, questo bucket dei log memorizza:

Audit log degli accessi ai dati.
Audit log di accesso negato in base ai criteri.
Log generati da applicazioni e Trusted Cloud by S3NS servizi.

Bucket di log definiti dall'utente

Puoi creare bucket di log definiti dall'utente in qualsiasi Trusted Cloud progetto. Quando crei un bucket di log definito dall'utente, puoi selezionare la posizione. Hai la possibilità di fornire una chiave di crittografia gestita dal cliente.

Puoi modificare ed eliminare i bucket di log definiti dall'utente. Per proteggerti dall'eliminazione di un bucket di log che memorizza voci di log che rientrano nel relativo periodo di conservazione, puoi bloccare il bucket di log per gli aggiornamenti.

Controllare l'accesso a un bucket di log

Le autorizzazioni e i ruoli IAM controllano l'accesso ai dati dei log. Ad esempio, puoi eseguire tutte le seguenti operazioni:

Concedi l'accesso in lettura e modifica a un bucket di log.
Concedi l'accesso in modifica a un bucket di log in base all'appartenenza al gruppo utilizzando i tag.
Controlla l'accesso a campi specifici in una voce di log configurando l'accesso a livello di campo in un bucket di log.
Concedi l'accesso a un sottoinsieme di voci di log in un bucket dei log creando una visualizzazione dei log in quel bucket.

Ogni bucket di log ha una visualizzazione di log predefinita, che in genere include ogni voce di log nel bucket di log. Per il bucket dei log _Default, la visualizzazione dei log predefinita esclude le voci dei log di accesso ai dati.

Per concedere a un utente le autorizzazioni necessarie per visualizzare e analizzare le voci di log, solitamente viene concesso uno dei seguenti ruoli IAM:

Ruolo Visualizzatore log (roles/logging.viewer): concede l'accesso a tutte le voci di log nel bucket _Required e alla visualizzazione predefinita dei log nel bucket _Default.
Ruolo Visualizzatore log privati (roles/logging.privateLogViewer): concede l'accesso a tutti i log nei bucket _Required e _Default, inclusi i log di accesso ai dati.

Se crei bucket di log o visualizzazioni dei log definiti dall'utente nei bucket di log, sono necessarie autorizzazioni aggiuntive. Per ulteriori informazioni sui ruoli, consulta Controllo dell'accesso con IAM.

Elenco delle regioni supportate

I bucket di log sono risorse a livello di regione. L'infrastruttura che archivia, indicizza e esegue ricerche nelle voci dei log si trova in una località geografica specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Trusted Cloud by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.

Le seguenti regioni sono supportate da Cloud Logging:

Nome regione Descrizione della regione

u-france-east1 Francia

Nome regione	Descrizione della regione
`u-france-east1`	Francia
`global`	Log archiviati in qualsiasi data center in qualsiasi regione supportata. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. Se vuoi scegliere la posizione di archiviazione per i dati dei log, utilizza un bucket di log regionale.

global

Log archiviati in qualsiasi data center in qualsiasi regione supportata. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva.

Se vuoi scegliere la posizione di archiviazione per i dati dei log, utilizza un bucket di log regionale.